L'attacco phishing ''Enable Macro''

L'esame della minaccia e i consigli per proteggersi.



[ZEUS News - www.zeusnews.it - 19-06-2017]

enable macro

Come se non sapessimo che il ransomware non è mai una bella notizia, con l'attacco di WannaCry del maggio scorso abbiamo capito a quali livelli sia arrivata l'epidemia. La portata di questo particolare attacco era incredibile, avendo colpito centinaia di migliaia di utenti in 150 Paesi.

Dal punto di vista della sicurezza, gli attacchi come WannaCry vanno studiati per capire come prevenirli o mitigarli in futuro. E anche se ormai il rischio potrebbe sembrare superato, i cybercriminali sono incredibilmente creativi e sempre alla ricerca di nuovi spunti per un nuovo grande attacco. Uno di questi, osservato di recente e già visto in passato, è un tentativo di attacco veicolato mediante una email che chiede all'utente di "abilitare le macro".

La minaccia: questa particolare minaccia tenta di convincere il destinatario a "abilitare le macro" o a "abilitare i contenuti" per lanciare l'attacco.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5135 voti)
Leggi i commenti (16)

Il phishing "Enable Macro" usa diversi passaggi e diverse tecniche per attirare l'attenzione dell'utente e convincerlo a compiere l'azione. In questo particolare esempio, il primo passo consiste nell'inviare una mail intimidatoria che, a giudicare dall'indirizzo, sembra arrivare da un ente autorevole.

L'email contiene un documento Office in allegato. È interessante notare che il mittente non chiede una risposta, ma solo di aprire il file allegato. Per fare sembrare il messaggio importante, l'indirizzo mittente è composto in modo da apparire come se provenisse da una qualche autorità.

Cosa succede ora? Se il file viene aperto e le macro non sono abilitate, viene visualizzato l'avviso che il documento "contiene delle macro". In generale, le macro permettono agli utenti di automatizzare operazioni svolte frequentemente, ma esse rappresentano anche un rischio per la sicurezza perché qualcuno con intenti malevoli può introdurre una macro distruttiva in un file al fine di lanciare un attacco.

Per questa ragione, spesso gli amministratori di sistemi adottano una policy che non permette agli utenti di abilitare macro di loro iniziativa. In alcune organizzazioni, però, le macro di Office sono usate comunemente e gli utenti le hanno abilitate di default e saranno condizionati ad abilitarle senza esitazione se richiesto. Ulteriori informazioni sulle macro sono disponibili nelle pagine di supporto Microsoft.

Enable Content Image[2]
Ecco come potrebbe presentarsi all’utente l’avviso di “abilitare il contenuto” (Fai clic sull'immagine per visualizzarla ingrandita)

Quando il file allegato viene aperto, all'utente viene chiesto di "abilitare le macro" o "abilitare i contenuti": indipendentemente dalla frase usata, il significato è sempre lo stesso. In genere, questi documenti contengono una macro chiamata "Auto_Open" o "Document_Open", ma potrebbero esserci altre varianti il cui effetto è comunque sempre quello di fare in modo che Office lanci automaticamente la macro appena il documento viene aperto.

La cosa preoccupante è che per lanciare la macro non è necessaria alcuna interazione da parte dell'utente, a parte l'apertura del file. Nel nostro caso, se il destinatario abilita le macro (o le ha già abilitate) il danno è fatto. A volte può essere la macro stessa, altre volte la macro di Office può essere un semplice downloader che recupera il vero "virus" da qualche parte nella rete.

Di questi tempi, il più diffuso è sicuramente il ransomware. Nel nostro esempio, il codice malevolo inizierebbe silenziosamente a criptare tutti i file sul computer non appena aperto il documento. Questo è un esempio di quanto facile sia lanciare un attacco ransomware tramite l'email e - come abbiamo visto per l'attacco WannaCry - le cose possono degenerare molto rapidamente.

Macros Phishing[1]
(Fai clic sull'immagine per visualizzarla ingrandita)

Questo particolare attacco è legato alle seguenti tecniche:
- phishing: per attivare la corrispondenza, il malintenzionato invia una email convincente da un indirizzo accuratamente congegnato per persuadere l'utente ad aprire il file allegato;
- software malevolo: l'attacco può essere lanciato o quando l'utente apre il documento o quando abilita le macro sul suo Pc. Analizzando questa particolare minaccia, abbiamo esaminato il dominio utilizzato per ricavare il quadro generale. Il dominio è stato registrato a gennaio e l'indirizzo IP del server SMTP è francese. Osservando però l'A record del dominio si scopre che esso si trova a San Pietroburgo. Ciò dimostra come, per quanto questi attacchi siano veramente globali, è molto difficile capire da dove abbiano origine. Il malfattore potrebbe essere ovunque. Quindi, prima di attivare le macro pensateci due volte.

Le aziende dovrebbero partire dal presupposto che saranno attaccate, quindi devono essere proattive. La formazione continua dei dipendenti è fondamentale per fare in modo che le persone siano consapevoli di quali minacce si possano nascondere in una mail.

Poi sono necessarie tecnologie di protezione come il sandboxing e l'advanced threat protection che aiutano a bloccare il malware prima ancora che raggiunga il mail server aziendale. In aggiunta, è possibile implementare una protezione antiphishing con Link Protection per esaminare i link che contengono codice pericoloso. I link ai siti compromessi sono bloccati anche se sepolti nel contenuto di un documento.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Windows 10 S violato in appena tre ore con le macro di Word

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come ti colleghi a Internet da casa?
Fibra ottica 300 Mega o superiore
Fibra ottica 100-200 Mega
Fibra ottica 20-50 Mega
Fibra ottica 10 Mega
Adsl 20 Mega o superiore
Adsl fino a 10 Mega
Adsl fino a 5 Mega
Adsl fino a 2 Mega
Smartphone
Chiavetta
Via Satellite
Wi-Max

Mostra i risultati (1225 voti)
Giugno 2017
Ransomware russo, oltre al danno la beffa: i dati non si recuperano
I medici americani: i lampioni a Led fanno male
Dove vanno a finire le foto mandate tramite WhatsApp?
Le torri di Amazon per i droni
Microsoft: ''Sì, disabilitiamo gli antivirus. Per il bene degli utenti''
Banda larga, scontro assurdo fra Tim e Governo
Il caso del sindacalista che criticava gli stipendi d'oro
Italia, via libera al trojan di Stato
Difendersi dalle app-truffa presenti nell'App Store di Apple
Roaming dati nell'UE ''gratuito'' da ieri: occhio alle sorprese
Firefox 54, più sicuro con la sandbox e più leggero
Il link che infetta il Pc senza nemmeno dover cliccare
Ecco come vengono sfruttati in concreto i dati delle nostre navigazioni
Windows 10, un assaggio del Fall Creators Update
Dai gattini bonsai alla disinformazione pianificata
Tutti gli Arretrati


web metrics